Audyt wewnętrzny w usprawnianiu zarządzania jednostką

Pełen tekst

(1)Zeszyty Naukowe nr. 849. Uniwersytetu Ekonomicznego w Krakowie. 2011. Ewa Wiktoria Babuśka Katedra Rachunkowości Finansowej. Audyt wewnętrzny w usprawnianiu zarządzania jednostką 1. Wprowadzenie Audyt wewnętrzny, czyli rewizja wewnętrzna, jest ważnym elementem procesu zrządzania jednostką, dlatego problematyka ta cieszy się niesłabnącym zainteresowaniem ze strony środowisk administracyjnych, biznesowych i naukowych. Audyt wewnętrzny jest instytucjonalną formą kontroli wewnętrznej odpowiadającej zachodniemu rozumieniu tego audytu jako funkcji1. Audyt wewnętrzny w swej tradycyjnej roli diagnozuje i ocenia stan wprowadzonych oraz utrzymywanych systemów kontroli wewnętrznej w jednostce2. Obecnie działalność audytu wewnętrznego obejmuje nie tylko zwyczajową domenę obserwacji i ewaluacji 1 Audyt wewnętrzny w rozumieniu funkcji jest instytucjonalną formą kontroli wewnętrznej i nie ma nic wspólnego z polskim pojęciem kontroli funkcjonalnej, przypisanej do zajmowanego w danej jednostce stanowiska (funkcji) i obejmującej kontrolę podległego obszaru działalności. W firmach zachodnich rozróżnia się internal controls, czyli wszystkie przedsięwzięte przez nie środki (mechanizmy, zasady, procedury, systemy kontrolne) dla uzyskania zapewnienia o efektywności (wydajności) prowadzonych działań (operacji), zgodności z przepisami i regulacjami prawnymi (założeniami polityki kierownictwa) i wiarygodności tworzonych informacji finansowych oraz tzw. „Internal Audit”, tj. wyodrębnione komórki kontroli wewnętrznej zatrudniające zawodowych audytorów określane mianem audytu wewnętrznego, wyposażone w odpowiednie i znaczące prerogatywy zgodnie z nowoczesnym rozumieniem tej funkcji.. 2 Komórki audytu wewnętrznego są zwyczajowo powoływane do pomocy zarządom przy projektowaniu, monitorowaniu i ocenie systemów kontroli wewnętrznej. Zadaniem zatrudnionych tam audytorów jest ciągłe śledzenie i opiniowanie istniejących kontroli wewnętrznych oraz przekazywanie o nich uwag, wniosków, wskazówek i rekomendacji członkom kierownictwa (radom dyrektorów i zarządom). Raporty z badań przeprowadzonych w ciągu roku w organizacjach i jednostkach im podporządkowanych są dla organów zarządzających źródłem informacji o jakości tych kontroli i prowadzonej działalności..

(2) 28. Ewa Wiktoria Babuśka. skuteczności i wydajności środków kontroli wewnętrznej, ale ma także znaczący udział w zarządzaniu ryzykiem (enterprise risk management) i realizacji zadań nadzoru korporacyjnego (corporate governance). Zadania w dziedzinie zarządzania ryzykiem oraz wspierania nadzoru właścicielskiego, stają się obecnie priorytetami jego działań. Właściwe zrozumienie i stosowanie audytu wewnętrznego, zgodne z zachodnimi wzorcami i trendami rozwoju, powinno znaleźć swe miejsce w polskich jednostkach. Audyt wewnętrzny może istnieć nie tylko w dużych organizacjach z udziałem kapitału zagranicznego, ale też w firmach średniej wielkości pragnących utrzymać się na rynku i innych jednostkach, np. sektora publicznego. Celem artykułu jest syntetyczne spojrzenie na instytucję audytu wewnętrznego wraz z ukazaniem podstawowych kierunków jego działalności wywierających wpływ na usprawnienie zarządzania w jednostkach3. Audyt wewnętrzny znajduje zastosowanie w bieżącej kontroli operacji, identyfikacji i analizie ryzyka oraz w ocenie efektywności procesów zarządzania i kontroli wewnętrznej. Ulegający ewolucji zakres pojęciowy audytu wewnętrznego i jego znaczenie dla usprawnienia zarządzania w jednostkach zostanie zaprezentowany na tle aktualnej, zmodyfikowanej wersji standardów IIA odnoszących się do profesjonalnej praktyki tego audytu. 2. Zakres pojęciowy audytu wewnętrznego według standardów IIA Wszystkie dotychczasowe definicje audytu wewnętrznego uwypuklały jego istotę w kontekście historycznych powiązań z kontrolą wewnętrzną, mianowicie niezależność i obiektywność zapewnień oraz umożliwienie oceny realizacji celów jednostki i stosowanych w niej systemów kontroli wewnętrznej. Obecnie rozpowszechniona jest definicja standardów Instytutu Audytorów Wewnętrznych z 2001 r., rozszerzająca dotychczasowy zakres pojęciowy audytu wewnętrznego i jego zadań przez odejście od treści prezentowanych w poprzednich wersjach standardów i wskazanie, że „audyt wewnętrzny jest działalnością niezależną, obiektywnie zapewniającą i doradczą, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Pomaga on organizacji w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i gover3 Większe jednostki mają zazwyczaj na szczeblu grupy kapitałowej wyodrębnione komórki zatrudniające wyspecjalizowanych audytorów w sferze procesów biznesowych i systemów informatycznych. Są to audytorzy z tytułami CIA (Certified Internal Auditor) i CISA (Certified Information Systems Auditor)..

(3) Audyt wewnętrzny w usprawnianiu zarządzania…. 29. nance”4. W definicji IIA zawarto kilka ważnych stwierdzeń dotyczących istoty i zakresu funkcji audytu wewnętrznego we współczesnych przedsiębiorstwach. Oprócz cechy niezależności i obiektywności audytu wewnętrznego podkreślono charakter weryfikacyjny, doradczy, prewencyjny i systematyczny tej działalności oraz jej ukierunkowanie na ryzyko i na badanie procesów5. Definicja IIA inkorporowała w zakres prac audytorów wewnętrznych ocenę efektywności procesów zarządzania ryzykiem i ustanowiła nowe działania w obszarze corporate governance 6. Ze względu na cel działalności audytu wewnętrznego jest konieczne przynoszenie jednostce wartości dodanej i usprawnianie funkcjonowania operacyjnego przez doskonalenie prowadzonych w niej działań. Audyt wewnętrzny powinien udzielać obiektywnego zapewnienia odnośnie do ryzyka, kontroli i pełnionego nadzoru, a realizacja tego wymogu zakłada bezstronność i prawdziwość informacji dostarczanych przez audytorów w raportach stosownie do przyjętej odpowiedzialności za zrewidowane dane. Wskutek ryzyka występującego w działalności rewizyjnej zapewnienie to nie może mieć charakteru absolutnego, ale powinno być wystarczające, racjonalne, rozsądne7. 4 Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, The Institute of Internal Auditors, Altamonte Springs, Florida USA. Najnowsze uzupełnienia i zmiany do tych standardów zostały wydane w październiku 2010 r. i weszły w życie 1 stycznia 2011 r., www.theiia. org/guidance/standards-and-guidance/ippf/definition-of-internal auditing/ (24.06.2011).. Szerzej na ten temat: J. Banaszkiewicz i in., Audyt wewnętrzny. Spojrzenie praktyczne, SKwP, Zarząd Główny Centralny Ośrodek Szkolenia Zawodowego, Warszawa 2003, s. 10–14. 5. 6 Pojęcie governance nie ma odpowiednika w języku polskim, dlatego w standardach IIA nie zostało ono przetłumaczone, choć w potocznym rozumieniu utożsamiane jest z zarządzaniem jednostką i nadzorem nad jej działalnością. Pojęcie corporate governance jest odnoszone do właściwego zarządzania organizacją i ma powiązania z ewolucją zakresu pojęciowego audytu wewnętrznego wiązanego z kwestiami nadzoru. Fundamentem prawidłowego nadzoru były dobre praktyki opracowane w Wielkiej Brytanii (raporty Cadbury’ego, Greenbury’ego, Hampela, Połączone zasady, Turnbull) i postanowienia amerykańskiej Ustawy Sarbanesa-Oxley’a (SOA, SOX) z 2002 r. W tłumaczeniu na język polski jest interpretowane jako „nadzór korporacyjny”, „nadzór właścicielski”, „władztwo korporacyjne”, „kontrola właścicielska”, czy „rządzenie korporacją” lub „ład korporacyjny” w spółkach akcyjnych. Powszechnym przekładem w polskich opracowaniach jest nadzór korporacyjny. M. Jerzemowska, Nadzór korporacyjny, PWE, Warszawa 2002, s. 34. W nowszych publikacjach używa się też terminu organizational governance – „nadzór organizacyjny”, który jest odnoszony do szerokiego kręgu wielu różnych typów organizacji: publicznych i prywatnych właścicieli biznesu, jednostek nastawionych na zysk i non-profit, instytucji rządowych i pozarządowych, gdyż temat jest ważny dla wielu kluczowych udziałowców i akcjonariuszy ze świata polityki i biznesu. Zob.: The Institute of Internal Auditors, Organizational Governance: Guidance for Internal Auditors, USA, Altamonte Springs 2006. W artykule przyjęto równoczesne lub zamienne stosowanie obu pojęć, tj. nadzoru korporacyjnego lub organizacyjnego.. E.J. Saunders, Audyt i kontrola wewnętrzna w przedsiębiorstwach, PIKW SA, Edukator Akademia Polonijna w Częstochowie, Częstochowa 2002, wyd. I, s. 38. 7.

(4) Ewa Wiktoria Babuśka. 30. Audyt wewnętrzny znajduje zastosowanie w zróżnicowanych środowiskach prawnych i kulturowych, w jednostkach odmiennych pod względem celów, wielkości, złożoności i struktur, a przeprowadzać go mogą osoby z wewnątrz, jak i z zewnątrz. Chociaż odrębności te mogą rzutować na praktykę audytu wewnętrznego w zmiennym otoczeniu, stosowanie Międzynarodowych standardów profesjonalnej praktyki audytu wewnętrznego (standardów) jest sprawą najważniejszą dla poprawnego wypełniania obowiązków audytora wewnętrznego i realizacji działalności audytu wewnętrznego8. Celem standardów IIA jest9: określenie podstawowych zasad praktyki audytu wewnętrznego, dostarczenie ram wykonywania i promowania wielostronnych działań audytu wewnętrznego dodających organizacji wartości, ustanowienie podstaw do oceny audytu wewnętrznego oraz wspieranie doskonalenia procesów i działań w organizacji. Standardy dotyczą kluczowych zasad i są zbiorem „stwierdzeń” określających podstawowe wymagania w zakresie profesjonalnej praktyki audytu wewnętrznego i oceny skuteczności działań (stosowane na całym świecie, na poziomie organizacyjnym i indywidualnym) oraz „interpretacji” terminów lub pojęć użytych w „stwierdzeniach”. Strukturę standardów tworzą standardy atrybutów, działania (wykonywania zadań) i wdrożenia. Standardy atrybutów określają cechy audytu wewnętrznego jako jednostki organizacyjnej i audytorów wewnętrznych jako reprezentantów grupy zawodowej świadczących usługi audytu wewnętrznego. Odpowiadają one na pytanie „kto” wykonuje audyt. Standardy działania dotyczą charakteru działań audytu wewnętrznego i kryteriów jakościowych służących ich ocenie. Definiują wymagania wobec sposobu realizacji zadań audytu wewnętrznego oraz zakresu zadań, odpowiadając na pytanie „co” i „jak” ma być weryfikowane. Standardy atrybutów i działania dotyczą wszystkich usług audytu wewnętrznego, zaś standardy wdrożenia rozwijają standardy atrybutów i działania. Standardy wdrożenia odnoszą się do pewnych rodzajów, typów działań, jak np. audyt zgodności, operacyjny, finansowy, przypisując im standardy atrybutów i działania. Standardy atrybutów 8 Gdy przepisy lub regulacje nie pozwalają audytorom wewnętrznym na pełne stosowanie standardów, niezbędne jest ich wykorzystywanie w możliwym zakresie i ujawnianie przypadków nieuwzględnienia ich wymagań. Gdy są one stosowane jednocześnie ze standardami innych uprawnionych instytucji, przy prezentacji wyników audytu można ujawnić użycie innych standardów, o ile jest to właściwe. Przy rozbieżnościach między standardami IIA a innymi przyjętymi normami działania, audytorzy wewnętrzni powinni postępować według postanowień standardów IIA, a zgodność z innymi normami będzie zapewniona, gdy te ostatnie okażą się bardziej restrykcyjne. Tak więc podstawą realizacji zadań przez audytorów wewnętrznych powinny być głównie standardy opracowane przez Instytut Audytorów Wewnętrznych jako normy o charakterze fundamentalnym. Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, s. 12.. Ibidem.. 9.

(5) Audyt wewnętrzny w usprawnianiu zarządzania…. 31. i działania występują w pojedynczych zestawach. Odpowiada im kilka zestawów standardów wdrożenia – po jednym dla każdego z głównych typów działań audytu wewnętrznego. Standardy wdrożenia zostały stworzone dla działań zapewniających (A – assurance activities) i doradczych (C – consulting activities)10. Zgodnie z definicją IIA audyt wewnętrzny ma udzielać wsparcia jednostce w osiąganiu wytyczonych celów poprzez oceny oraz doskonalenie procesów zarządzania ryzykiem, kontroli wewnętrznej i nadzoru właścicielskiego. 3. Audyt wewnętrzny czynnikiem usprawniającym zarządzanie jednostką Audyt wewnętrzny stymulujący skuteczność procesów zarządzania ryzykiem, kontroli i governance jest jednocześnie czynnikiem usprawniającym zarządzanie całą jednostką. Pełni on rolę „wewnętrznego doradcy” identyfikującego i analizującego ryzyko związane z prowadzeniem działalności gospodarczej i oceniającego efektywność struktur, procesów i mechanizmów kontroli wewnętrznej. Ocena ryzyka oraz kontroli ma w założeniu tworzyć spójny zestaw narzędzi zarządzania i nadzoru nad działalnością jednostki. W aktualnej wersji standardów kolejność zadań audytu wewnętrznego w odniesieniu do governance, ryzyka i kontroli została utrzymana. Odmiennie niż definicja, standard działania IIA 2100 opisujący charakter (rodzaj) pracy wskazuje, że „audyt wewnętrzny w swoich działaniach dokonuje oceny i przyczynia się do usprawnienia procesów governance, zarządzania ryzykiem i procesów kontroli, stosując systematyczne i zdyscyplinowane podejście”11. Za najważniejszy uznano więc wpływ audytu wewnętrznego na procesy nadzoru właścicielskiego12. Powiązania audytu wewnętrznego z procesami Ibidem, s. 2 oraz K. Czerwiński, Audyt wewnętrzny, wyd. I, InfoAudit Sp. z o.o, Warszawa 2004, s. 9–10. 10 11. Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, s. 9.. Rozważając pojęcie nadzoru korporacyjnego w światowych opracowaniach, można wnioskować, że nie istnieje jeden uniwersalny model dobrych praktyk nadzoru stosowany powszechnie i obejmujący swym zakresem wszystkie znaczące aspekty. Przyjmuje się, że jest to ogół zasad wykorzystywanych do zarządzania i koordynowania zachowań różnych właścicieli kapitału, mających indywidualne interesy, współdziałających z zarządem w efektywnej realizacji wytyczonych celów organizacji. Nie istnieje też jedna, pełna i uniwersalna definicja nadzoru, choć pewne wspólne elementy są prezentowane w wielu definicjach, które przedstawiają je jako zasady, procesy i struktury używane przez organizacje do kierowania i sterowania swą działalnością dla osiągnięcia celów i ochrony dochodów różnych grup interesariuszy w sposób zgodny z odpowiednimi standardami etyki. Często cytowana definicja oparta na forum rynków demokratycznych Organizacji Współpracy Gospodarczej i Rozwoju (The Organisations for Economic Cooperation and Development – OECD) brzmi następująco „nadzór korporacyjny wiąże się z istnieniem sieci relacji między zarządem spółek, radą, akcjonariuszami i innymi udziałowcami oraz oferuje strukturę, 12.

(6) Ewa Wiktoria Babuśka. 32. tego nadzoru wyraża standard działania IIA 2110 Governance, który stanowi, że audyt wewnętrzny musi oceniać i przedstawiać stosowne rekomendacje dla usprawnienia procesów governance tak, aby osiągane były następujące cele: promowanie właściwych zasad etyki i wartości wewnątrz organizacji, zapewnianie skutecznego zarządzania działalnością organizacji i odpowiedzialności, przekazywanie informacji o ryzyku i kontroli do odpowiednich obszarów organizacji oraz koordynowanie działań i przekazywanie informacji między radą, audytorami zewnętrznymi, wewnętrznymi i zarządem13. Ponadto audyt wewnętrzny w swych działaniach musi oceniać „cele oraz, sposób zaprojektowania wdrożenia i skuteczność programów i działań organizacji w zakresie etyki” (standard działania 2110.A1), a także „czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji” (2110.A2). Równocześnie zaś „cele zadań doradczych muszą być zgodne z ogólnymi wartościami i celami danej organizacji” (2110.C1)14. Działania audytu wewnętrznego w sferze nadzoru organizacyjnego są doniosłe i przejawiają się w wielu dziedzinach jego oddziaływania. Należą do nich: środowisko nadzoru, kultura organizacji, działalność komitetu audytu15, zarządzanie ryzykiem, skuteczność kontroli wewnętrznych, w tym finansowych i procedur sprawozdawczych, przeglądy jakości działania audytu wewnętrznego, m.in. struktury i sposobu organizacji komórki audytu, prewencja i wykrywanie oszustw i nadużyć, podejmowanie procesów planowania strategicznego, niezawodność rozwiązań technologii informatycznych (IT) oraz inne pojawiające się zagadnienia nadzoru. W każdej z tych dziedzin audyt wewnętrzny ma do spełnienia konkretne. za pośrednictwem której ustanawiane są cele spółki, środki na ich realizację i środki umożliwiające śledzenie wyników spółki”. W zasadach nadzoru korporacyjnego OECD wydanych w 1999 r. i zrewidowanych w 2004 r. wskazano, że dobry nadzór korporacyjny powinien w sposób właściwy zachęcać członków rady dyrektorów, zarządu i kierownictwa do osiągania celów leżących w interesie spółki i jej wspólników/akcjonariuszy oraz ułatwiać skuteczne śledzenie wyników, sprzyjając przez to bardziej efektywnemu wykorzystaniu jej zasobów; nadzór jest jednym z kluczowych elementów poprawy efektywności gospodarowania wzmacniającym zaufanie inwestorów, a jego skuteczność czy w spółkach, czy w całej gospodarce przyczynia się do wzrostu zaufania będącego istotnym czynnikiem sprawnego działania gospodarki rynkowej. W efekcie koszt pozyskiwania kapitału jest mniejszy, a przedsiębiorstwa są zachęcane do efektywniejszego wykorzystywania zasobów, co jest podstawą wzrostu gospodarczego. OECD, Zasady nadzoru korporacyjnego 2004, s. 11, www.oecd.org. 13 14. Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, s. 9.. Ibidem, s. 10.. Polskimi odpowiednikami komitetów ds. audytu w spółkach prawa handlowego są komisje rewizyjne. 15.

(7) Audyt wewnętrzny w usprawnianiu zarządzania…. 33. i ważne zadania, a ponadto audytorzy powinni wskazywać nowe kwestie nadzoru oraz weryfikować stopień zajmowania się nimi przez zarząd16. W definicjach nadzoru korporacyjnego OECD oraz audytu wewnętrznego IIA wskazuje się na silne związki audytu z nadzorem. Stosowane praktyki nadzoru mają wspierać radę i zarząd organizacji w osiąganiu celów leżących w interesie jej i właścicieli, a profesjonalny audyt działający w sferze nadzoru ma oceniać jego jakość, wydając stosowne zalecenia wspomagające osiąganie założeń dobrych praktyk nadzoru17. Audyt wewnętrzny ma dwie opcje działania w ramach nadzoru organizacyjnego18: (1) audytorzy dostarczają niezależnych, obiektywnych ocen właściwości struktury i operacyjnej skuteczności specyficznych działań nadzoru, (2) przyspieszają zmiany, doradzając lub zalecając usprawnienia struktury i praktyk nadzoru. Zarząd i rada ustalają i śledzą systemy skutecznego nadzoru. Audytorzy wewnętrzni mogą wspierać i ulepszać te działania i choć powinni zachować niezależność, mogą uczestniczyć w ustalaniu procesów nadzoru. Przez dostarczenie zapewnienia o zarządzaniu ryzykiem, kontroli i procesach nadzoru audyt wewnętrzny staje się podstawą skutecznego nadzoru organizacyjnego. To, która z tych opcji jest bardziej istotna dla audytu wewnętrznego zależy w dużym stopniu od złożoności struktury i procesów nadzoru organizacji i od organizacyjnych ról i kwalifikacji audytorów wewnętrznych. W organizacjach z niską złożonością struktury i procesów nadzoru audyt wewnętrzny może ograniczać się do porad dotyczących optymalnej struktury i praktyk i do porównań struktury i praktyk nadzoru z regulacjami i innymi wymogami zgodności, natomiast w organizacjach z rozwiniętymi strukturami i zaawansowanymi praktykami nadzoru audytorzy wewnętrzni mogą się koncentrować na: ocenie spójności komponentów nadzoru według założeń, analizie przejrzystości raportowania między organami nadzoru, porównaniu z najlepszymi praktykami nadzoru, identyfikowaniu zgodności ze znanymi i odpowiednimi kodeksami nadzoru. Działalność audytu wewnętrznego w tradycyjnym znaczeniu koncentrowała się na ocenie systemów kontroli wewnętrznej, obecnie zaś przede wszystkim skupia się na analizie ryzyka, głównym instrumencie planowania i zarządzania w jednostkach19. Dostrzega się dominującą rolę analizy ryzyka, która poprzedza ocenę 16 Szerzej na ten temat: PriceWaterhouseCoopers, Strengthening Internal Audit’s Role in Corporate Governance 2004, s. 7–24 oraz E.W. Babuśka, Audyt wewnętrzny w realizacji nadzoru korporacyjnego (organizacyjnego), Zeszyty Naukowe Uniwersytetu Szczecińskiego, nr 512 Finanse, Rynki Finansowe, Ubezpieczenia nr 12, Szczecin 2008, s. 7–21. 17. J. Banaszkiewicz i in., op. cit., s. 27–28.. The Institute of Internal Auditors, Organizational Governance: Guidance for Internal Auditors, USA, Altamonte Springs 2006, s. 4–5. 18. 19. K. Czerwiński, op. cit., s. 58–60..

(8) Ewa Wiktoria Babuśka. 34. systemów kontroli wewnętrznej i wysuwa się na plan pierwszy w pracy audytorów wewnętrznych. Aby wypełniać swą misję, pomnażać wartość dodaną i przynosić korzyść właścicielom, a równocześnie rozwijać się w zmiennym otoczeniu, jednostki muszą umieć przeciwstawić się niepewności, co wymaga skutecznego rozpoznawania i zarządzania ryzykiem. Analiza ryzyka umożliwia podejmowanie decyzji mających na celu rozważenie skutków wariantowych rozwiązań. W jej zakres wchodzą oszacowanie ryzyka i zarządzanie ryzykiem stanowiące różne fazy procesu decyzyjnego opartego na ryzyku. Oszacowanie ryzyka polega na jego identyfikacji, pomiarze i hierarchizacji, natomiast zarządzanie ryzykiem obejmuje czynności służące minimalizowaniu ryzyka, w tym ustanawianie kontroli wewnętrznych (internal controls)20. Narzucone przez standardy IIA zracjonalizowane wymogi prowadzenia audytu wewnętrznego zmieniły podejście audytorów do zagadnień kontroli i ryzyka, traktując analizę ryzyka jako priorytet w działaniach. Nie jest to sprowadzeniem zadań audytu tylko do zagadnień ryzyka z pominięciem jego udziału w ocenie kontroli i zarządzania w jednostkach. Analiza ryzyka musi być podstawą decyzji o przeprowadzeniu audytu, co odnosi się też do przygotowania rocznego planu audytu wewnętrznego i realizacji poszczególnych zadań audytu21. Analiza ryzyka jest wyjściem naprzeciw oczekiwaniom inwestorów i właścicieli odnośnie do przewidywania zmian warunków działania organizacji i wcześniejszego rozpoznania szans i zagrożeń, jakie mogą się pojawić w toku ich działalności. Istotą ryzyka jest niepewność wydarzeń i ich rezultatów, które mogą wpływać na realizację celów jednostki. Skutki ryzyka mogą być negatywne i pozytywne. Pierwsze ograniczają wartość firmy i uniemożliwiają jej wzrost, drugie zaś, jako możliwości, przyczyniają się do tworzenia wartości firmy i obniżają ujemne skutki ryzyka. Zarządy firm muszą wiedzieć, że określony poziom ryzyka jest nie do uniknięcia i że niepodejmowanie go oznacza marazm w działaniu prowadzący do bankructwa. Korzyścią z podjęcia wysokiego ryzyka mogą być większe zyski i wzrost wartości firmy. Zarządy muszą podejmować wyzwania związane z ryzykiem, posiadając wiedzę i umiejętności zarządzania nim oraz znając instrumenty umożliwiające realizację celów za pomocą wypróbowanych metod działania. Audyt wewnętrzny dysponuje metodami i technikami wykorzystywanymi w szacowaniu i zarządzaniu ryzykiem, udzielając zarządom firm skutecznego wsparcia. Wymagania, jakie musi spełnić audyt wewnętrzny w odniesieniu do określenia, analizy i zarządzania ryzykiem w jednostce, są zdefiniowane w standardach IIA. 20 D. McNamee, Oszacowanie ryzyka w audycie wewnętrznym i zarządzaniu, Fundacja Rozwoju Rachunkowości w Polsce, Warszawa 2004, s. 19. 21. K. Czerwiński, op. cit., s. 59..

(9) Audyt wewnętrzny w usprawnianiu zarządzania…. 35. Standard działania 2120 odnoszący się do zarządzania ryzykiem wskazuje, że „audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem”22. Do tego standardu jest podana interpretacja: procesy zarządzania ryzykiem są według audytora wewnętrznego skuteczne, jeśli z jego oceny wynika, że: cele organizacji wspierają misję organizacji i są z nią zgodne; istotne rodzaje ryzyka zostały zidentyfikowane i ocenione; wybrano odpowiednie sposoby reakcji na ryzyko, powiązane z apetytem organizacji na dane rodzaje ryzyka; istotne informacje o ryzyku są identyfikowane i we właściwym czasie komunikowane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie ich obowiązków”23. Proces zarządzania ryzykiem podlega obserwacji przez stałe działania zarządu, osobne oceny lub obie formy łącznie. Rozwinięciem tego standardu są kolejne standardy o charakterze zapewniającym i doradczym wyrażające bezwarunkowe obowiązki audytorów wewnętrznych poprzez wskazanie, że w swoich działaniach muszą oni oceniać zagrożenie ryzykiem związanym z governance, działalnością operacyjną i systemami informatycznymi w organizacji, biorąc pod uwagę: wiarygodność i rzetelność informacji finansowych i operacyjnych, skuteczność i efektywność działań operacyjnych, ochronę aktywów oraz zgodność z prawem, przepisami i umowami (standard 2120.A1), oceniać zagrożenia wystąpienia oszustwa i sposób zarządzania ryzykiem oszustwa w organizacji (standard 2120.A2), podczas zadań doradczych – podejść do ryzyka zgodnie z celami zadania i zwracać uwagę na możliwość istnienia innego znaczącego ryzyka (standard 2120.C1), wykorzystać wiedzę o ryzyku uzyskaną podczas wykonywania zadań doradczych do swojej oceny procesów zarządzania ryzykiem w organizacji (standard 2120.C2), przy wspieraniu kierownictwa w procesie tworzenia lub poprawy procesów zarządzania ryzykiem – powstrzymać się od przejmowania jakichkolwiek obowiązków zarządczych i faktycznego zarządzania ryzykiem (standard 2120.C3). Prace audytu wewnętrznego obejmują oceny zarządzania ryzykiem i analizę ryzyka w zakresie niezbędnym w planowaniu długoterminowym i planowaniu zadania audytowego. Audytorzy muszą posiadać wiedzę i umiejętności analizy ryzyka, tj. znać praktyczne metody jej przeprowadzenia. Inne aplikacje analizy ryzyka odnoszą się w audycie wewnętrznym do wyliczenia i monitorowania ryzyka niepowodzenia w audycie projektów oraz do oceny adekwatności i skuteczności systemów kontroli wewnętrznej włącznie z wyceną ich poszczególnych elementów24. Oceniając sposób zarządzania ryzykiem przez kierownictwo, audyt przedstawia niezależną ocenę ryzyka i opinię o skuteczności działań ogranicza Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, s. 10.. 22. Ibidem.. 23. 24. K. Czerwiński, op. cit., s. 64..

(10) Ewa Wiktoria Babuśka. 36. jących ryzyko, natomiast odpowiedzialność za zarządzanie ryzykiem ponosi kierownictwo25. Kierownictwo musi określić, czy i jak duże ryzyko może być przyjęte przez jednostkę i jakie działania mają ograniczyć jego skutki. Działania mogą polegać na dywersyfikacji lub unikaniu ryzyka (zmiana przedmiotu działania by podzielić zagrożenie), rozkładzie uczestnictwa w ryzyku (udział w ryzyku np. klientów, dostawców, ubezpieczycieli) oraz ustalaniu środków kontroli dla ujawnionego ryzyka26. Zarządzanie ryzykiem stanowi element zarządzania strategicznego jednostek. Jest to stały, spójny i posiadający własną strukturę proces przyjęty w jednostce, na podstawie którego kierownictwo rozwiązuje problemy związane z niepewnością i towarzyszącymi jej zagrożeniami i szansami, zwiększając przez to swą zdolność do tworzenia wartości firmy27. Zwiększenie wartości następuje wtedy, gdy kierownictwo, ustalając strategię firmy, zachowuje optymalną równowagę między celami i ryzykiem oraz zapewnia efektywną alokację zasobów dla osiągnięcia postawionych celów. Strukturę zarządzania ryzykiem przedstawia model ERM (enterprise risk management), tzw. COSO II, nawiązujący do historycznie wcześniejszego modelu kontroli wewnętrznej COSO (the committee of sponsoring organizations)28, stosownie do klasycznej roli audytu wewnętrznego w ocenie kontroli wewnętrznych (internal controls). Model ERM składa się z ośmiu elementów,. 25 26. Ibidem, s. 93.. D. McNamee, op. cit., s. 19–20.. The Role of Internal Audit in Enterprise-wide Risk Management [online], The Institute of Internal Auditors, 2004, http://www.theiia.org/go/?to=%20link_050322_guidancepoerm> 27. 28 Komitet Organizacji Sponsorujących Komisję Treadway’a znany jako Komisja COSO (The Treadway Commission – od nazwiska jej przewodniczącego J.C. Treadwayʼa) miał na celu ujednolicenie pojęć w zakresie kontroli wewnętrznej. W skład komisji wchodziło wiele profesjonalnych organizacji będących jej sponsorami, jak: Stowarzyszenie Księgowych Amerykańskich AAA (American Accounting Association – uczelnie), AICPA (American Institute of Certified Public Accountants – księgowi sektora publicznego), FEI (Financial Executive Institute (skarbnicy/dyrektorzy finansowi), IIA (Institute of Internal Auditors – audytorzy wewnętrzni) oraz IMA (Institute of Management Accountants – księgowi firm prywatnych). W związku z włączeniem COSO w swoje standardy przez AICPA większość międzynarodowych firm księgowych przyjęło ten model. Również IIA przyczynił się do rozszerzenia wpływów COSO poza granicami USA. W 1992 r. ukazał się raport tej komisji, przetłumaczony według wersji jednolitej z maja 1994 r. na język polski pt. Kontrola wewnętrzna – zintegrowana koncepcja ramowa, wydany nakładem Fundacji Rozwoju Rachunkowości w Polsce w 1999 r. Koncepcja zaprezentowana w raporcie COSO została przeniesiona do brytyjskiego Code of Best Practice, zwanego Raportem Cadbury’ego (Cadbury Report) wydanego również w 1992 r. Podobne wysiłki podejmowane były w Kanadzie, co zaowocowało wydaniem przez CICA (Canadian Institute of Chartered Accountants) raportu zwanego potocznie CoCo (Criteria of Control), za: Kontrola wewnętrzna – Zintegrowana koncepcja ramowa, FRR, Warszawa 1999 (przedmowa do wydania polskiego) oraz D. McNamee, op. cit., s. 35–36..

(11) Audyt wewnętrzny w usprawnianiu zarządzania…. 37. w tym z trzech nowych dodanych do COSO: ustalanie celów, zidentyfikowanie zdarzeń i reakcja na ryzyko29. Jest wiele definicji i modeli kontroli wewnętrznej w sensie mechanizmów, środków tej kontroli (internal controls). Najbardziej znany jest model COSO30. Definicja kontroli wewnętrznej według COSO wskazuje, że kontrola wewnętrzna jest procesem wykonywanym przez radę dyrektorów, zarząd i innych pracowników, w celu zapewnienia w rozsądnym stopniu, że osiągnięte zostaną cele organizacji w trzech kategoriach: efektywność i wydajność operacji, wiarygodność sprawozdań finansowych, zgodność z aktami prawnymi i przepisami. Definicja zawiera kilka podstawowych założeń, a mianowicie: kontrola wewnętrzna jest procesem, system kontroli wewnętrznej jest realizowany przez ludzi (członków organizacji), którzy ustanawiają jej cele i wdrażają systemy kontroli, od kontroli można oczekiwać dostarczenia zarządowi i radzie dyrektorów zapewnień jedynie rozsądnych, nie absolutnych, cele jednostki są realizowane oraz kontrola wewnętrzna posiada narzędzia do osiągnięcia celów w jednej lub kilku osobnych, lecz zachodzących na siebie kategoriach. Przedstawiona definicja jest szeroka z dwóch powodów: 1) odzwierciedla ona sposób postrzegania kontroli wewnętrznej w zarządzaniu przedsiębiorstwami przez wiele osób z kierownictwa wyższego szczebla, traktujących ją w sensie zarówno pewnego stanu (posiadania siły nad czymś, panowania nad sytuacją, bycia zdolnym do czegoś) jak i w sensie akcji, czynności (wykonywania kontroli), 2) zawiera trzy kategorie celów jednostki to jest operacje, sprawozdawczość finansową i zgodność. Definicja ta stwarza też podstawę do określenia efektywności kontroli wewnętrznej. Kontrola wewnętrzna może zostać oceniona jako efektywna, jeżeli rada i zarząd uzyskają wystarczające zapewnienie, że cele operacyjne jednostki są osiągane w określonym stopniu, publikowane sprawozdania finansowe sporządzane są wiarygodnie i spełniane są wymagania odpowiednich aktów prawnych i przepisów31. Raport COSO przedstawia kontrolę wewnętrzną w układzie pięciu elementów struktury: środowiska kontroli, oszacowania ryzyka, czynności kontrolnych, informacji i komunikacji oraz obserwacji (monitoringu). Każdy z pięciu komponentów jest następnie szeroko opisywany przez liczne kluczowe i specyficzne dla niego czynniki charakteryzujące szczegółowo istotę i znaczenie danego składnika dla systemu kontroli wewnętrznej, jak również dla całej jednostki organizacyjnej. Tych pięć elementów formuje pięć poziomów kontroli wewnętrznej, które przecinając się z trzema celami kontroli wewnętrznej oraz z wydziałami i działaniami Szerzej na ten temat R. Moeller, Brink’s Modern Internal Auditing, 6 ed., John Wiley & Sons, New Jersey 2005, s. 112. 29. 30. Kontrola wewnętrzna – zintegrowana koncepcja ramowa, s. 36–40.. Ibidem, s. 45.. 31.

(12) Ewa Wiktoria Babuśka. 38. jednostki, których dotyczy kontrola wewnętrzna, i innymi poziomami kontroli, tworzą trójwymiarowy model, kwintesencję koncepcji COSO32. Omówienia wymaga ocena systemów kontroli wewnętrznej dokonywana przez wyodrębnioną w strukturze jednostki komórkę audytu wewnętrznego. Zapotrzebowanie na skuteczne i wydajne systemy kontroli wewnętrznej oraz na instrumenty obiektywnej oceny tych systemów w jednostkach znajduje się stale w centrum uwagi i troski kierownictwa. Ocenę istniejących systemów kontroli przeprowadza audyt wewnętrzny, dzięki któremu możliwa staje się weryfikacja zaprojektowanych i wprowadzonych przez zarządy mechanizmów kontroli wewnętrznej. Było i jest to jedno z pierwszych i najważniejszych zadań audytu. Standard działania IIA 2130 traktujący o kontroli i skierowany do audytorów wewnętrznych zawiera nakaz wspierania organizacji w utrzymaniu skutecznych kontroli przez ocenę ich skuteczności i efektywności oraz promowanie ciągłego usprawniania33. Według standardu 2130.A1 audytorzy wewnętrzni muszą oceniać odpowiedniość i skuteczność kontroli stosownie do ryzyka w obszarze governance, działalności operacyjnej i systemów informatycznych. Ocena obejmuje: wiarygodność i rzetelność informacji finansowych i operacyjnych, skuteczność i efektywność działań operacyjnych i programów, ochronę aktywów oraz zgodność z przepisami prawa, regulacjami, zasadami, procedurami i umowami34. W dalszych standardach kontroli35 wskazuje się, że audytorzy wewnętrzni „muszą wykorzystać wiedzę o kontrolach uzyskaną podczas wykonywania zadań doradczych do oceny procesów kontroli w organizacji (standard 2130.C1). Ocena adekwatności i skuteczności środków kontroli w organizacjach dokonywana jest na podstawie wyników oceny ryzyka. Audytorzy traktują kontrolę wewnętrzną jako jedną z ważnych kategorii ryzyka. Wyróżniają oni kontrolę detekcyjną, kierowniczą (zarządczą), prewencyjną i korekcyjną. Podstawą zaliczenia przez audytora danej kontroli do określonej kategorii jest miejsce jej stosowania. Ustalanie i klasyfikacja kontroli odbywa się w trakcie testów przeglądowych. Do oceny i klasyfikowania kontroli wykorzystywane są diagramy jako najbardziej przydatne narzędzia. W audycie systemów kontroli często stosowane są również kwestionariusze pomagające ocenić system kontroli wewnętrznej. Ostateczna ocena systemu kontroli jest przedstawiana w tabeli i formułowana na podstawie wniosków z oceny systemu kontroli wewnętrznej wypływających z testów przeglądowych i macierzy ryzyka przed testami zgodności, jak również z oceny 32 33. Ibidem, s. 44.. Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, s. 11.. 34. Ibidem, s. 11.. Ibidem.. 35.

(13) Audyt wewnętrzny w usprawnianiu zarządzania…. 39. stopnia wiarygodności po testach zgodności, których wyniki weryfikują opinię wstępną36. 4. Podsumowanie Analizując audyt wewnętrzny oraz podstawowy obszar jego aktywności w kontekście ustawicznie modyfikowanych standardów IIA, należy zwrócić uwagę na znaczenie i umacniającą się rolę tego audytu w usprawnianiu zarządzania we współczesnych jednostkach. Celem audytu wewnętrznego jest dokonywanie ocen i przyczynianie się do doskonalenia procesów zarządzania ryzykiem, kontroli oraz nadzoru, a działania te powinny być prowadzone systematycznie i konsekwentnie. W Polsce audyt wewnętrzny został ustawowo wprowadzony w jednostkach sektora finansów publicznych37, natomiast w przedsiębiorstwach jest nadal sprawą otwartą, chociaż znaczenie audytu wewnętrznego uznało już wiele spółek publicznych, dostrzegając potrzebę dalszego rozwijania tej funkcji. Audyt wewnętrzny ma zastosowanie w bieżącej kontroli operacji, w ocenie efektywności procesów gospodarczych oraz kontroli wewnętrznej. Jednak nie wszyscy zarządzający są przekonani do instytucji audytu. Jego działalność powinna także podlegać ocenie w relacji kosztów i korzyści. Promowanie roli i rangi audytu wewnętrznego w jednostkach jest zadaniem równie ważnym, jak udowodnienie przez audyt swojej użyteczności. Literatura Audyt wewnętrzny. Spojrzenie praktyczne, praca zbiorowa, SKwP, Zarząd Główny, Centralny Ośrodek Szkolenia Zawodowego, Warszawa 2003. Babuśka E., Audyt wewnętrzny w realizacji nadzoru korporacyjnego (organizacyjnego), Zeszyty Naukowe Uniwersytetu Szczecińskiego, Nr 512 Finanse, Rynki Finansowe, Szczecin 2008. Banaszkiewicz J. i in., Audyt wewnętrzny. Spojrzenie praktyczne, SKwP, Zarząd Główny Centralny Ośrodek Szkolenia Zawodowego, Warszawa 2003. Czerwiński K., Audyt wewnętrzny, wyd. I, InfoAudit Sp. z o.o, Warszawa 2004. Jerzemowska M., Nadzór korporacyjny, PWE, Warszawa 2002. Kontrola wewnętrzna – zintegrowana koncepcja ramowa, PriceWaterhouseCoopers, Fundacja Rozwoju Rachunkowości w Polsce, Warszawa 1999. McNamee D., Oszacowanie ryzyka w audycie wewnętrznym i zarządzaniu. Fundacja Rozwoju Rachunkowości w Polsce, Warszawa 2004. K. Czerwiński, op. cit., s. 156–171.. 36. Ustawa z 26 listopada 1998 r. o finansach publicznych (Dz.U. z 2003 r. nr 15, poz. 148 z późn. zm.).. 37.

(14) 40. Ewa Wiktoria Babuśka. Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego, The Institute of Internal Auditors, USA, Florida 2010. Moeller R., Brink’s Modern Internal Auditing, John Wiley&Sons, New Jersey 2005. PriceWaterhouseCoopers, Strengthening Internal Audit’s Role in Corporate Governance 2004, www.pwc.com/internalaudit. Saunders E.J., Audyt i kontrola wewnętrzna w przedsiębiorstwach, Edukator, Akademia Polonijna w Częstochowie, Częstochowa 2002. The Institute of Internal Auditors, Organizational Governance: Guidance for Internal Auditors, USA, Altamonte Springs 2006. The Institute of Internal Auditors, The Role of Internal Audit in Enterprise-wide Risk Management, 2004. http://www.theiia.org/go/? Zasady nadzoru korporacyjnego OECD. Organization of Economic Co-operation and Development, 2004. http://www.msp.gov.pl/dokumenty/2-86.pdf The Internal Audit as a Means of Improving Company Management At present, the internal audit consists not only in the assessment of internal control but also plays an important role in risk management and in the realization of the tasks of corporate governance. This article presents role of the internal audit in improving company management, especially corporate governance, as well as in risk management and in evaluating internal control systems..

(15)